英国的充分性决定近乎尘埃落定，你的服务器要放在哪里？

Original 魏彤出海互联网法律观察

2024-08-25

新闻概况

欧洲联盟委员会于2021年2月19日启动了两项关于向英国转让个人数据的充分性决定的程序，一项是根据GDPR，另一项是根据《执法指令》（LED）。程序评估了英国关于个人数据保护的法律内容和具体做法，例如公共当局获取数据的规则，并得出结论：英国的保护水平基本上与GDPR和LED所规定的保护水平相同，能够确保在欧盟向英国转移的GDPR范围内的个人数据得到充分的保护。这一草案还有待进一步审批，需经过欧洲数据保护委员会（EDPB）和欧盟的“comitology”程序的批准。

GDPR第45条第3款和LED第36条第3款授予欧洲联盟委员会决定非欧盟国家确保“充分保护水平”的权力，即作出充分性决定。决定作出后，该非欧盟国家可以无条件地将个人数据从欧盟转移到本国。因此，介于英国脱欧后不再受到欧盟隐私规则的约束，充分性决定的结果是英国具备相应保护水平的凭证。如果该决定最终通过，有效期为四年，在此之后，如果英国的仍具有相应的保护水平，可以延长期限。

英国的充分性决定近乎尘埃落定

你的服务器想好要放在哪里了吗

什么是充分性决定，与中国出海企业有什么关系？

欧洲严格的数据保护法GDPR对个人数据在欧洲经济区（'EEA'）之外的转移进行了严格的限制，以确保企业不能依靠在另一个司法辖区处理个人数据来绕过GDPR对于数据的保护要求。

这个数据转移限制对于IT外包，云服务和国际电子商务时代的企业而言是沉重的负担。不仅在欧洲经济区之外拥有业务、使用外国供应商或合作伙伴的欧洲企业需要进行关注，受GDPR约束的外国企业同样受到影响。对于我们中国出海企业，举个例子来说，如果您向位于欧盟的个人提供商品或服务，或处理对处于欧洲的居民投放定向型的广告，那这个对于数据转移的限制同样是您需要考虑的合规要素。

为了减轻这种负担，GDPR规定，如果委员会确定欧洲经济区以外的国家或地区（“第三国”）为个人数据提供了“足够保护的水平”，则其会发布充分性决定。当该第三国获得了充分性决定，则受到GDPR约束的控制者和处理者可以不受限制地将个人数据传输给该国家的任何接收者。

换句话说，充分性决定作为一个数据传输出欧洲的“免死金牌”（之一），对出海欧洲的企业尤其重要，他与其他GDPR批准的安全措施，一起决定了您的服务器到底可以部署在哪里的问题。

英国为何要获得欧盟的充分性决定（意义何在）？

这个适当性决定的获取对于英国来说意义主要有三个。

首先，从欧盟到英国的数据顺畅流通对于贸易和商业来讲至关重要。

其次，在执法层面，根据数据保护执法指令的充分性决定是与欧盟就出于执法目的共享数据达成协议的前提。在这种情况下，无法访问执法数据共享将严重破坏合作，并使英国和欧盟公民数据的安全性降低。（此处执法指令（EU Directive 2016/680）（'LED'）下的充足性测试与GDPR相同）。

第三，《英国退欧协议》规定，直到2020年底，英国都必须为之前来自欧盟的旧数据提供保护。如果英国未能获得充分性决定，则必须在过渡期结束前按照GDPR要求来处理此类数据。CJEU的判例法认为GDPR对于英国法院具有约束力且该约束力将持续，如果英国对英国数据采用不同的数据保护标准，则适用中的差异必然成为公司实务中的噩梦。

关于传输美国

本文的第一部分就已提到充分性决定这个“措施”即是为了保护欧洲数据的向外传输，避免“绕路“GDPR，而连续性传输，也即从欧洲传输到第三国后继续传输到“第四国”的情况也必然要进行考虑。

尤其在去年数据保护大事件——欧美隐私盾废除的背景下，英国可能成为欧洲个人数据进入美国的后门的担心甚嚣尘上，令人有些吃惊的是，该份充分性决定草案没有围绕“ Schrems II”裁决、SCC的修订或是其他建议的补充措施进行任何限制或者讨论。尤其对于在欧洲大陆、英国和美国都有业务的出海企业而言，该问题的重要性不可小觑，我们可以期待EDPB之后对该问题的进一步解释，我们会持续跟进。

亚太充分性决定的获得情况

截止目前，已有11个亚太地区的司法辖区已制定了数据保护相关的法规，包括：澳大利亚，中国，香港，日本，澳门，马来西亚，新西兰，菲律宾，新加坡，韩国和台湾。然而，到目前为止，似乎只有澳大利亚，新西兰和日本试图获得充分性决定，其中目前只有新西兰和日本获得了充分性决定。

在国家层面缺乏充分性决定的前提下，涉及欧洲业务的亚太地区的企业逐渐习惯于通过在协议中加入数据保护条款（标准合同条款&特别条款）、寻求征得数据主体的同意、设置约束性公司规则、建立行为准则等措施来进行数据的跨境传输。

公司该怎么做？

对于业务涉及欧洲和英国，甚至把欧洲总部放在伦敦的出海企业而言，对于该份几十上百页的充分性决定，无需手足无措，我们建议先等待草案在2021年6月的通过结果。

如果EDPB在2021年6月30日之前批准了该充分性决定，则EEA-英国数据流通传输层面暂无需采取进一步行动（当然，公司需要解决与英国脱欧有关的其他问题，例如任命代表处或选择欧盟的新主要机构）。

如果没有获得通过，企业可能需要考虑“让欧陆的数据留在欧陆”，比如把原本放在英国的欧洲服务器移到欧洲本土（如阿姆斯特丹），部分确实无法避免传输的数据则要寻求其他的补充性措施进行数据安全保护，如通过在协议中加入数据保护条款（标准合同条款&特别条款）、寻求征得数据主体的同意、设置约束性公司规则、建立行为准则等，具体的措施实施和一些更加特殊的减损措施可以联系我们进行沟通交流。

本文编辑：王湄怡

BOOK

作者简介

魏彤

垦丁律师事务所国际业务部

欧盟国际隐私信息保护专家，CIPP/E

专注于全球数据合规与隐私保护领域，在荷兰知名法律数据库威科先行开设数据合规专栏，所属的W&W国际法律团队为谷歌和白鲸出海等大型公司与平台提供数据合规内容支持。曾任大型欧盟企业数据安全官和美国游戏公司法律合规顾问。以中国互联网企业出海和跨国公司进入中国的视角解读数据合规。业务经验集中在欧盟、美国、拉丁美洲等中国企业出海热门市场。

联系方式：15926458510

【GP政策更新】博彩类应用在15个新国家放开上架，看看有没有你出海的那一个？

国际数据隐私日！回顾经典，保护隐私。

罚款3.9亿！WhatsApp因数据合规问题再次被调查！

【重磅发布】2020年全球数据合规大事件回顾

详解《外国公司问责法》：纳斯达克上市门槛提高；中概股或大规模退市

【游戏出海】国产手游厂商如何应对韩国游戏分级？

谷歌诉求被驳回！违反被遗忘权遭瑞典罚款5200万克朗！

125万英镑！跻身ICO罚款Top5！

Zoom再惹麻烦！与FTC协议，将接受独立第三方两年一次的安全计划审查！

重磅原创 | 个人信息保护法（草案）与多国数据保护法要点对比

游戏出海三人游—日本篇